Les instances européennes chargées de la protection de la vie privée ont sabré sans ménagement l’initiative de la Commission en matière de lutte contre la pédopornographie.

C’est un sujet pour lequel la moindre réserve est par essence très compliquée à exprimer, compte tenu des enjeux de protection de l’enfance et de l’impératif moral qu’il y a à combattre tout contenu pédopornographique — CSAM en anglais, soit child sexual abuse material. C’est pourtant sur ce terrain difficile que des instances européennes clés se sont placées.

Dans un communiqué commun paru le 29 juillet 2022, et relayé par 01 Net le 3 août, le Contrôleur européen de la protection des données et le Comité européen de la protection des données, qui réunit les instances nationales de l’UE, comme la Commission nationale de l’informatique et des libertés (Cnil) en France, ont pris la parole pour mettre en garde Bruxelles.

En cause ? L’initiative de la Commission européenne en matière de lutte contre la pédopornographie, justement. Présentée au cours du mois de mai, elle contient une disposition qui a suscité des débats animés, puisqu’elle souhaite imposer un scan de tous les messages, y compris ceux étant chiffrés, pour déceler tout contenu CSAM et prendre les mesures adéquates, le cas échéant.

Cette initiative survient alors que le Vieux Continent désire actualiser son cadre réglementaire sur la protection des mineurs. Mais à la présentation de son plan, Bruxelles a fait l’objet de vives critiques pour un texte qui menace la vie privée des internautes, notamment de spécialistes en sécurité informatique et de représentants d’ONG de défense des libertés numériques.

Un texte mal écrit et excessif

L’opinion partagée par le Comité comme le Contrôleur fin juillet va dans le même sens. Oui, tout abus sexuel sur un enfant est « un crime particulièrement grave et odieux », qu’il faut combattre sans relâche. Mais cela ne peut se faire en effritant par ailleurs d’autres principes fondamentaux sur lesquels reposent les sociétés européennes.

Et s’il peut être justifié de limiter ponctuellement les droits à la vie privée et à la protection des données (cela survient, par exemple, lorsqu’un tribunal autorise la police à fouiller un domicile), cela doit se faire en respectant l’essence des droits fondamentaux et en limitant ces restrictions « à ce qui est strictement nécessaire et proportionné ».

Et pour traduire un peu plus directement le sentiment du Comité et du Contrôleur quant à la proposition de la Commission, ce texte n’est ni fait ni à faire. « Dans sa forme actuelle, [elle] peut présenter plus de risques pour les individus, et, par extension, pour la société dans son ensemble, que pour les criminels poursuivis par le CSAM ». Le désaveu est fort.

Ordinateur PC
Le texte poserait plus de risques pour les individus que pour les criminels, préviennent les instances européennes de protection de la vie privée. // Source : Thom — Photo modifiée

Et ça ne s’arrête pas là. « Il existe un risque que la proposition devienne la base d’un balayage généralisé et indiscriminé du contenu de pratiquement tous les types de communications électroniques », parce que la rédaction est bancale et floue. Pas assez claire, détaillée et précise, en résumé. Il faut donc reformuler le texte pour éviter de pareils débordements.

L’usage d’outils automatiques pour ce travail, à base « d’intelligence artificielle », est aussi considéré avec méfiance, car un tel balayage des messages et des médias est source potentielle d’erreurs — les cas de faux positifs ne manquent pas dès qu’une tâche de cette nature est automatisée — et, par conséquent, d’intrusions injustifiées dans la vie privée des individus.

« Le texte peut présenter plus de risques pour les individus, et, par extension, pour la société dans son ensemble, que pour les criminels. »

Le comité et le Contrôleur européens

L’opinion des deux organes de contrôle, qui est développée dans un document de 36 pages, est donc hautement préoccupée des conséquences potentielles qu’aura cette réglementation européenne sur la vie privée et les données personnelles des individus. La copie est largement à revoir, même si les deux parties ont aussi noté des propositions potentiellement prometteuses.

Les deux autorités citent un futur centre européen dédié à la lutte contre le CSAM. Très bien, mais elles plaident pour une modération dans les échanges de données personnelles entre ce centre et Europol. Ces transferts devraient se faire au cas par cas, pour éviter un partage trop souple. Jusqu’à présent, il est question d’un accès complet aux données appropriées.

Enfin, le Comité comme le Contrôleur ont rappelé que le chiffrement de bout en bout ne doit pas être une victime sacrifiée sur l’autel de la lutte anti-pédopornographie.

Celui-ci « contribue de manière fondamentale au respect de la vie privée et à la confidentialité des communications, à la liberté d’expression, à l’innovation et à la croissance de l’économie numérique ». Il est hors de question « d’empêcher ou de décourager, de quelque manière que ce soit, l’utilisation du chiffrement de bout en bout [qui] affaiblirait sérieusement le rôle du chiffrement tout court ».